使用此策略设置,可以配置是否允许将安全引导作为 BitLocker 操作系统驱动器的平台完整性提供程序。
安全引导确保电脑的预启动环境仅加载由授权软件发行商数字签名的固件。相对于旧 BitLocker 完整性检查,安全引导还为管理预启动配置提供更大的灵活性。
如果启用或未配置此策略设置,则 BitLocker 会将安全引导用于平台完整性(如果该平台具有基于安全引导的完整性验证功能)。
如果禁用此策略设置,则即使在具有基于安全引导的完整性验证功能的系统上,BitLocker 也将使用旧平台完整性验证。
当启用此策略且硬件能够将安全引导用于 BitLocker 方案时,将忽略"使用增强型引导配置数据验证配置文件"组策略设置,并且安全引导将根据安全引导策略设置(与 BitLocker 分开配置)验证 BCD 设置。
注意: 如果启用组策略设置"为本地 UEFI 固件配置配置 TPM 平台验证配置文件"且忽略 PCR 7,则 Bitlocker 将无法将安全引导用于平台或引导配置数据(BCD)完整性验证。
警告: 禁用此策略可能会导致在更新固件时恢复 BitLocker。如果禁用此策略,则在应用固件更新之前将挂起 BitLocker。
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Policies\Microsoft\FVE |
| Value Name | OSAllowSecureBootForIntegrity |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |